昨晚朋友发来一条字符串,神秘兮兮地让我到浏览器打开,说会触发彩蛋。
我将信将疑地复制到浏览器,按下回车键,哦豁蓝屏了!!!
文档没保存一天白干
(开玩笑,现在的IT人士哪个不随手摁下CTRL+S)
重启之后赶忙到某歌搜下资料,以下是机器翻译:
打开此路径会导致 BSOD
自去年10月以来,Windows安全研究员Jonas Lykkegaard已经多次发布过关于一条路径的微博,该路径将立即导致Windows 10崩溃,并在进入Chrome地址栏时显示BSOD。
当开发人员希望直接与 Windows 设备交互时,他们可以将Win32 设备命名空间路径作为参数传递给各种 Windows 编程功能。例如,这允许应用程序直接与物理磁盘交互,而无需通过文件系统。
Lykkegaard告诉BleepingSpcuter,他为"控制台多路复用器驱动程序"发现了以下的 Win32 设备命名空间路径,他认为该路径用于"内核/用户模式 ipc"。当通过各种方式打开路径时,即使是低特权用户,也会导致 Windows 10 崩溃。
\\.\globalroot\device\condrv\kernelconnect
连接到此设备时,开发人员应传递"附加"扩展属性以与设备进行正确通信。
CDCreateKernlConnect 显示"附加"扩展属性
Lykkegaard 发现,如果您尝试连接到路径而不通过属性由于不正确的错误检查,它将导致异常,导致蓝屏死亡 (BSOD) 崩溃在 Windows 10。
更糟的是,低特权 Windows 用户可以尝试使用此路径连接到设备,使计算机上执行的任何程序都很容易崩溃 Windows 10。
在我们的测试中,我们已确认此 Bug 存在于 Windows 10 版本 1709 及更晚版本上。Bleeping 计算机无法在较早版本中测试它。BleepingComputer 上周联系了微软,了解他们是否已经知道了错误,以及他们是否会修复错误。
“微软有一个客户承诺,调查报告的安全问题,我们将尽快提供受影响的设备的更新”微软发言人告诉布莱和平电脑。
利用方式:
现实生活中,此 Bug 可能会被有权访问网络并想要在攻击期间掩盖其踪迹的威胁参与者滥用。如修改页面嵌入js跳转:
window.location.href = 'file://\\.\globalroot\device\condrv\kernelconnect';
那么打开此站点的Windows10用户…哈哈
如果入侵者具有管理员权限,他们可以远程执行一个命令,该命令在网络上的所有 Windows 10 设备上访问此路径,以导致它们崩溃。对网络造成的破坏可能会延迟调查或阻止管理控制检测到特定计算机的攻击。
很长一段时间没有更新博客了。一直在公众号更新内容,欢迎关注。
3430
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
